تازه ها

امنیت

اینترنت و شبکه

فناوری اطلاعات

March 8, 2020
12:05 یکشنبه، 18ام اسفندماه 1398
کد خبر: 109568

شناسایی یک کارزار فیشینگ عجیب با اهدافی مبهم

مهاجمان سایبری در یک حمله فیشینگ از طریق ارسال ایمیل‌هایی با ضمیمه اسناد ورد در ظاهر حاوی اطلاعات محرمانه اقدام به نصب یک ابزار معتبر دسترسی از راه دور بر روی سیستم اهداف خود می‌کنند.
 
 
 به گزارش مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، بر اساس بررسی‌های انجام شده توسط پژوهشگران، این کارزار از ژانویه سال میلادی جاری فعال بوده و با بکارگیری چندین تکینک مخرب به دستگاه‌ها رخنه و امکان دسترسی از راه دور مهاجمان به سیستم قربانیان را فراهم می‌کند.
 
اهداف و قربانیان این کارزار، ایمیلی را دریافت می‌کنند که در آن کاربر تشویق به باز کردن فایل ضمیمه ایمیل می‌شود. در فایل مذکور به این بهانه که حاوی اطلاعات شخصی است از قربانی خواسته می‌شود تا برای وارد کردن رمز درج شده در متن ایمیل و رمزگشایی آن قابلیت ماکرو را در نرم‌افزار Word فعال کند. این ادعای دروغین وقتی در کنار لوگوی شرکت مشهور امنیتی نورتون، سازنده نرم‌افزارهای امنیتی، در فایل ضمیمه قرار می‌گیرد، احتمال در دام افتادن کاربر را بیش از پیش افزایش می‌دهد. 
 
 
با فعال شدن ماکرو کاربر با پنجره‌ای مشابه با شکل زیر مواجه می‌شود.
 
 
در مراحل بعدی، ماکرو اقدام به اجرای فرامینی می‌کند که در نتیجه آنها با بکارگیری پروسه معتبر PowerShell یک ابزار دسترسی از راه دور بر روی سیستم نصب و ماندگار می‌شود.
 
ابزار نصب شده، نسخه‌ای از NetSupport Manger گزارش شده است. NetSupport Manger یک ابزار معتبر دسترسی از راه دور است که معمولاً توسط کارکنان بخش فناوری اطلاعات سازمان‌ها برای اتصال از راه دور به سیستم‌ها مورد استفاده قرار می‌گیرد.
 
در حالی که مهاجمان با اجرای NetSupport Manger در این کارزار اهداف مخربی را دنبال می‌کنند اما با توجه به معتبر بودن این ابزار، محصولات امنیتی و ضدویروس نسبت به آن به‌عنوان یک بدافزار واکنش نشان نمی‌دهند. اگر چه احتمالاً مهاجمان از نسخه‌ای موسوم به کرک استفاده کرده و از کانال‌های قانونی آن را خریداری نکرده‌اند.
 
اکثر این ایمیل‌ها در قالب پیام‌های بازپرداخت، نقل و انتقالات برخط و صورت‌حساب‌هایی از این قبیل است.
 
هنوز مشخص نیست که انگیزه اصلی مهاجمان از اجرای این حملات چه بوده است. ممکن است که این افراد با این سازوکار قصد سرقت فوری اطلاعات را داشته باشند یا در برنامه‌ای دراز مدت اقدام به انجام اموری همچون رصد ایمیل‌های ورودی و خروجی بر روی سیستم آلوده و شناسایی افراد در تماس با قربانی کرده تا بر اساس اطلاعات استخراج شده دست به اجرای حملات هدفمند فیشینگ برای هک حساب‌های کاربری بیشتر بر مبنای حساب اولیه بزنند.
 
از آنجا که موفقیت این کارزار منوط به استفاده از بخش ماکرو در مجموعه نرم‌افزاری Office است توصیه می‌شود که این قابلیت در حالت دائماً غیر فعال قرار داده شود. کاربران نیز باید در باز کردن ایمیل‌های ارسالی از سوی فرستندگان ناآشنا بخصوص در زمانی که در آنها از موارد اضطراری صحبت می‌شود بسیار محتاطانه عمل کنند.
 
نشانه‌های آلودگی فایل‌ها و دامنه‌های مورد استفاده در این کارزار در لینک زیر قابل دریافت است:
در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.